02.11.2016
Sicherheit
Kritische Lücke in Windows und Adobe Flash
Autor: Stefan Bordel, dpa
Maksim Kabakou / Shutterstock.com
Sicherheitsforscher von Google haben eine kritische Lücke in Windows und Adobe Flash entdeckt, die bereits aktiv von Hackern ausgenutzt wird. Microsoft hat nun ein außerplanmäßiges Sicherheitsupdate für den 8. November angekündigt.
Microsoft hat eingeräumt, dass eine Hackergruppe eine bisher unbekannte Schwachstelle in seinem Betriebssystem Windows ausgenutzt hat. Sie solle mit einem Update am 8. November gestopft werden, erklärte der Software-Riese in einem Blogeintrag in der Nacht zum Mittwoch. Microsoft führt die Gruppe unter dem Namen "Strontium", nach Informationen des "Wall Street Journal" handelt es sich um die selben Hacker mit mutmaßlicher Verbindung zu Russland, die E-Mails beim Vorstand der Demokratischen Partei in den USA gestohlen hatten.
Die Vorgehensweise von "Strontium" sei, sich mit Hilfe präparierter Links in authentisch aussehenden E-Mails Zugang zu Computern und dem Netzwerk dahinter zu verschaffen, schrieb Microsoft. Es sei die selbe Gruppe, die andere IT-Sicherheitsexperten wie etwa Crowdstrike unter der Bezeichnung "Fancy Bear" führten, schrieb das "Wall Street Journal".
Bei dem Angriff auf Windows kam auch eine bisher unbekannte Sicherheitslücke in der Multimedia-Software Flash von Adobe zum Einsatz, wie Microsoft weiter mitteilte. IT-Sicherheitsforscher von Google hatten vor einigen Tagen auf das Problem hingewiesen. Windows-Chef Terry Myerson kritisierte in dem Blogeintrag das Vorgehen. "Googles Entscheidung, diese Schwachstellen öffentlich zu machen, bevor Gegenmaßnahmen breit verfügbar und getestet sind, ist enttäuschend und verstärkt das Risiko für die Kunden", schrieb er. Zugleich seien die Nutzer in Microsofts neuem Webbrowser Edge auf der neuesten Version von Windows 10 bereits sicher gewesen.
Google hat es schon wieder getan
Google hatte in der Vergangenheit bereits mehrfach Sicherheitslücken in Windows veröffentlicht, bevor die Redmonder den entsprechenden Fehler behoben hatten. So hat der Internet-Konzern etwa Anfang 2015 eine Lücke veröffentlicht, da Microsoft diesen Bug auch nach Ablauf einer dreimonatigen Frist nicht behoben hatte.
Generell sehen die Vorgaben von Googles Sicherheitsteam "Project Zero" vor, dass entdeckte Sicherheitslücken zunächst dem jeweiligen Entwickler berichtet werden. Dieser hat dann rund 90 Tage Zeit, um den Bug zu beheben. Sollte der Fehler bis dahin nicht behoben sein, erfolgt die Veröffentlichung. Falls Sicherheitslücken aber wie im aktuellen Fall schon von Cyberkriminellen genutzt werden, erfolgt die sofortige Veröffentlichung. Dies soll einerseits die Entwickler unter Zugzwang setzen und andererseits Nutzern und Systemadministratoren die Möglichkeit bieten, Gegenmaßnahmen einzuleiten.
Bildbearbeitungs-Tipps
Das neue Paint - Das kann es inklusive KI-Funktionen
Microsoft hat seine altehrwürdige Bildbearbeitungs-Software Paint generalüberholt. Wir erklären die neuen Funktionen und was Sie damit anstellen können.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Pilot-Features
Google Maps-Funktionen für nachhaltigeres Reisen
Google schafft zusätzliche Möglichkeiten, um umweltfreundlichere Fortbewegungsmittel zu fördern. Künftig werden auf Google Maps verstärkt ÖV- und Fußwege vorgeschlagen, wenn diese zeitlich vergleichbar mit einer Autofahrt sind.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>